Nevím, kdo systém vyvíjel a testoval, ale jen během první hodiny jsem narazil na následující problémy:
- Landing page vracela až do poslední minuty chyby (žádost o přihlášení, HTTP 403, 404, 503, úvodní stránku IIS)
- Prvním krokem bylo zaslání SMS s PINem 1, na což nebyla naškálována SMS brána (tisíce SMS nelze při tempu 10 SMS/sec. odbavit v řádu sekund)
- Úplně chybí jakékoli provázání s eIdentitou, takže (jak jsme zvyklí u našeho státu) občan znovu a znovu vyplňuje údaje, které už stát má
- Web registrace.mzcr.cz porušuje vládní nařízení z roku 2009 a není dostupný po IPv6
- Druhá fáze odkazuje na web reservatic.com a rodné číslo i s PIN2 se posílá v query stringu, což vede k tomu, že správci webserveru teď mají v access logu tisíce rodných čísel (bravo!)
- Druhá fáze je zjevně provozovaná na serverech a doméně třetí strany
- Registraci lze projít s jedním r.č. víckrát, a pokud chcete změnit "preferované očkovací místo", nemáte jinou možnost než právě opakovanou registraci provést
- s tím související: Preferované očkovací místo nelze změnit
- CAPTCHA na serveru reservaticu je opravdu ostudná (je špatně použitelná i pro toho, kdo dobře vidí; hledání semaforů, kopců, kol a aut na takový web nepatří; navíc byl uživatel ověřen pomocí SMS)
- Výběr termínů prakticky nefungoval (server byl přetížen); pokud se podařilo načíst úvodní stránku reservaticu, odkliknout captchu a souhlasit s pravidly, stránka se odeslala pomocí HTTP POST a skončila chybou (ti šťastnější tam měli výběr data a času)
- Autorům systému nikdo nevysvětlil princip FIFO front, tj. registrací "dopředu", i když zatím nejsou dostupné očkovací dávky
- Celý průšvih se kvůli absenci FIFO front bude opakovat, až se zase "v systému objeví volná místa"
- Uživatel nemá šanci zjistit, v jakém očkovacím místě jsou volná místa, a kam se tedy může zaregistrovat
A to určitě není všechno.
Opravdu tam je CAPTCHA?
To snad nemyslí vážně...! Jednak to pro mne znamená povolovat scripty z "google.com" a "gstatic.com", druhak tuhle hru neumím vyhrát - posledně jsem marně klikal na auta, motorky a lodě tři čtvrtě hodiny a pak jsem musel jít dělat něco užitečného.
Podle mne by na takových stránkách skripty z jiných domén (natož CAPTCHA!) vůbec neměly být.
Pavel Bělobrádek na twitteru:
Říkal jsem, že ve veřejné správě může řídit akorát tak tříkolku. Nepřátelský převzít, predátorsky uchvátit menšího, monopolizovat, oligarchizovat, zatlačit, vymačkat, zničit konkurenci, agresivitou a neomaleností zaskočit,zastrašit ...tohle v řízení státu fakt moc nefunguje.
A tak nám všem, kdo jsme se pokusili zaregistrovat své 80+ (pra)rodiče zbývá jen černý humor.
Nora Fridrichová na twitteru:
Udělali registrační systém, ale začali se jim tam registrovat lidi.
Dle mých informací, systém vytvořila firma ATS Praha, známá mj. neúspěšným projektem "centrálního registru vozidel" (2012) a údajně si objednala u operátorů "nadstandardní" službu: 20 sms/s... Kolik ještě tito "profíci" dostanou státních zakázek? U těch vozidel alespoň nešlo o životy lidí...
15. 1. 2021, 16:58 editováno autorem komentáře
Ale tady jde přece o to, že je to zase paskvil a nedodělek. To co tato vláda předvádí je komedie.
Digitalizace vázne, stát si vynucuje některé úkony elektronicky, ale sám na to kašle.
Např. u MPO pokud chcete žádat Covid nájemné, musíte se přihlásit přes eIdentitu a jinak to neuděláte. Sama žádost je navíc tak komplikovaná, že IT nezkušení starší jedinci s tím mají problém.
Prostě ta navázanost na eIdentitu tam měla být z několika důvodu:
- je přesně ověřeno kdo je kdo a stát má všechny údaje
- veškeré informace se maji automaticky před vyplnit
Díky bankovní identitě by to mohlo použít dost lidí. Kdo by chtěl tak by použil eIdentitu, vše by se mu předvyplnilo a jen by si vybral termín apod.
Kdo nemá/nechce eIdentitu by to dělal jako teď a vše vyplňoval.
Já si všiml, že google captcha pracuje na způsobu sociálního statusu.
Pokud si za vpn, ale na chrome + v něm logunutý, tak tě to pustí kdykoliv.
Pokud si v chrome anonymní, tak to kapek kulhá, ale s 1 chybou to jde.
Pokud si za vpn, v mozille, blokuješ fingerprints, cookies (mám auto-delete), tak nemáš šanci ani když to 3x správně vyplníš.
Proto jsem na svých webech přestal použivat google captchu.
- první dva body nemá asi smysl řešit, navrhovat systém, který bude v provozu po několik měsíců (let?) podle náporu v první hodině je blbost.. ale mohlo to být řešeno o něco lépe - např. hodina spuštění neměla být dopředu vůbec avizována, aby se předešlo klasicky učebnicovému přetížení systému marketingovým bomba efektem.. takhle to např. udělali i s elektronickými dalničními známkami - web byl nedostupný a až opadl ten první nával, tak to v klidu o pár hodin později spustili a nedošlo k přetížení..
- eIdentita - škoda, že tam ta možnost není, ale ruku na srdce, kolik z lidí má eIdentitu? kolik lidí v první cílov skupině 80+ má eIdentitu? tohle má být dostupné masám, s co nejmenší náročností
- ke zbytku se asi nebudu ani vyjadřovat, každý systém má mouchy, tohle se odladí.. ale tu captchu bych teda vyhodil, když jsem to viděl ve zprávách a představoval si seniora, který přemýšlí, proč po něm chtějí na obrázku vyklikat semafory (jako chápu, že třeba senioři to mohou brát jako trénink poznávácích schopností a tudíž jako hru, ale... ), tak jsem si ťukal na čelo, to tam fakt museli dávat??
Chci videt genia, ktery implementuje FIFO frontu v pripade, ze jsou dodavky na konkretni misto nezaruceny (fluktuace v dodavkach vakcin, neni jasna logistika, v systemu nejsou vsechna ockovaci mista ani znama kapacita) a zaroven musi brat ohled na to, ze konkretni lidi maji svoje casove preference ...
však já s vámi souhlasím, že ta MOŽNOST (nikoliv povinnost) použít eIdentitu by tam být měla, v tomhle jsem myslím zajedno..
v čem se asi rozcházíme je, že vy asi předpokláte, že eIdentitu má zřízenu "dost lidí", já předpokládám, že skoro nikdo, minimálně v cílovce 80+ to podle mě nelze vůbec očekávat.. ale přesto, ta možnost by tam měla být, z řady důvodů, včetně těch, které správně uvádíte..
Ono je to vůbec nemálo zajímavé, stran té proklamované informace "elektronicky a co nejjednodušeji". Nejmenovaný úřad má na stránkách "žádost můžete poslat i bez zaručeného elektronického podpisu". Ale na pobočce vám řeknou: "ne, bez zaručeného elektronického podpisu nelze". Nejsou schopni ani zajistit informovanost všech zaměstnanců, protože dotazem na vedení bylo následně zjištěno, že lze.
Pokud tam je popsaná capcha, tak stránka není přístupná (např. pro nevidomé, používající k čtení obtrazovky screen readery) a je to proti jakémusi nařízení (neumím) o přístupnosti webových stránek pro postižené. Doufám, že se to při spuštění další vlny pro širší veřejnost, včetně prioritních skupin, kam mnozí spadají (např. diabetici) opraví, resp. zruší. Autentifikace přes SMSku je i tak pro tyto lidi velkou komplikací, kterou troufnu si říct nějak zvládnou, i když zvl. mezi seniory budou i ti, kteří nezvládnou.
Dnes po 8. hodině mi to nabídlo co by nejbližší Fakultní nemocnici Plzeň. Např. Domažlice, Klatovy, nebyly v seznamu. Někdy kolem 8:46 při opakovaném pokusu se dostat na krok po kterém dostanu potvrzení termínu se na seznamu očkovacích míst objevila nemocnice Domažlice. BOMBA!
Tohle by stálo za prověření - šidí nás systém, nebo někdo kdo s ním pracuje? Proč si radší nepronajali obyčejné call-centrum s nějakým automatickým systémem?
- Rodný číslo v URL
- Odesílání URL do Google Analytics
A jak znám ty naše pitomce, místo aby dali checkboxy se seznamem dostupných očkovacích míst, budou mít zájemci pět registrací a budou se camrat, jak velký je zájem. A až se začne očkovat, budou brečet, že 4/5 lidí vycouvaly...
Btw, už zajistili vakcíny, jehly a stříkačky. Teď už to padne jenom na tom, že nebude čím dezinfikovat míst vpichu...